Vincent Haupert ist IT-Sicherheitsforscher an der Friedrich-Alexander-Universität Erlangen. Mit seinem Kollegen Nicolas Schneider hat er Sicherheitslücken in 31 Finanz-Apps entdeckt. Kriminelle Hacker könnten diese Lücke ausnutzen, um unbemerkt an Geld zu kommen.
In Deutschland sind unter anderem Commerzbank, Sparkassen und Comdirect betroffen. Der Angriff ist möglich, wenn Kunden fürs Online-Banking aus Bequemlichkeitsgründen nur auf ein Gerät setzen, also Geld einfach und unkompliziert mit dem Smartphone überweisen wollen. Weitere Details lesen Sie hier.
SZ: Herr Haupert, Sie haben Schwachstellen in 31 Finanz-Apps entdeckt. Wie sind Sie vorgegangen?
Vincent Haupert: Bereits 2015 haben wir Schwachstellen in den Apps der Sparkassen gefunden. Dabei sind wir das erste Mal auf den Dienstleister Promon gestoßen. Viele bedeutende Banken beauftragen Promon, um ihre Apps absichern zu lassen. Das Verfahren kann aber technisch nicht ersetzen, was konzeptionell an Sicherheit verloren gegangen ist. Also haben wir insgesamt über 150 000 Apps aus den App Stores heruntergeladen, um Apps zu finden, die mit Promon zusammenarbeiten. So sind wir auf die 31 Finanz-Apps gestoßen.
Wie wichtig sind externe Dienstleister, wenn es um IT-Sicherheit geht?
Sie spielen eine große Rolle. Grundsätzlich kann es sinnvoll sein, auf Firmen zu setzen, die sich auf genau einen Bereich spezialisiert haben. Schließlich verfügen die über das nötige Expertenwissen. Wenn man über die Kompetenz und genug finanzielle Mittel verfügt, sollte man aber prüfen, ob man ein so wichtiges Feld wie IT-Sicherheit nicht lieber im eigenen Haus hält.
Müssen die Nutzer der betroffenen Apps jetzt Angst haben, dass Kriminelle ihr Konto übernehmen?
Es ist nicht davon auszugehen, dass kriminelle Hacker den Angriff in kurzer Zeit nachbauen werden. Dazu ist er zu komplex. Uns geht es weniger um die akute Bedrohung und mehr um das grundlegende Problem: Banken bieten Optionen, in denen auf eine unabhängige Zwei-Faktor-Authentifizierung verzichtet wird. Das ist ein Verfahren, bei dem zwei voneinander unabhängige Geräte nötig sind, um Transaktionen zu tätigen.
Wie überweisen Sie denn ihr Geld?
Ich setze immer noch auf einen Chip-Tan-Generator. Per Online-Banking gebe ich eine Überweisung in Auftrag. Dann stecke ich meine EC-Karte in den Generator und scanne damit den Code in meinem Browser. Der Bildschirm des Generators zeigt mir zur Sicherheit noch mal meine IBAN und die Summe der Überweisung an. Anschließend sehe ich die Transaktionsnummer, die ich in das Feld im Browser eingebe. Wenn ein Hacker meinen Rechner mit Schadsoftware infiziert und versucht, auf ein fremdes Konto Geld zu überweisen, würde ich das bemerken. Schließlich wäre dann eine andere Kontonummer auf dem Display zu sehen.
Viele Kunden empfinden das als umständlich. Sie wollen alle Geschäfte über ein Gerät abwickeln. Man könnte sagen: Darauf reagieren die Banken doch nur.
Banken müssen nicht alles anbieten, was technisch möglich ist und wonach verlangt wird. Ich sehe das genau andersrum: Es ist gerade die Verantwortung der Bank, nur die Verfahren anzubieten, die wirklich sicher sind. Das erwarten die Kunden ja auch.
Gibt es irgendeinen Kompromiss aus Komfort und Sicherheit? Etwa ein Bluetooth-Token, damit man nicht seinen Laptop braucht, um Überweisungen zu machen.
Jedes Smartphone wäre theoretisch seit Jahren in der Lage, sichere Transaktionen durchzuführen. Aber noch gibt es auf Seiten der Betriebssysteme keinen einheitlichen Standard. Wer trotzdem aus Bequemlichkeit ein einzelnes Gerät verwenden will, um Geld zu überweisen, der sollte auf zwei Punkte achten.
Erstens: Kritisch hinterfragen, welche Apps man herunterlädt. Obwohl Google und Apple Sicherheitsprüfungen durchführen, gelingt es kriminellen Hackern immer wieder, schädliche Programme in die App-Stores einzuschleusen. Und zweitens: Das Betriebssystem sollte möglichst auf dem aktuellen Stand gehalten werden. Leider ist das für Android-Nutzer ein größeres Problem, weil viele Hersteller nur verzögert und im Falle älterer Geräte sogar oft gar keine Software-Updates anbieten.